木鱼琐语

http://news.sina.com.cn/c/2005-01-20/17184897445s.shtml 今天看见这个新闻，说： 《教育部称四级泄题系论坛篡改发布时间制造假象》 人民网北京1月20日电记者关莹报道：记者近日从公安部、教育部获悉，2005年四级英语考试网上“泄题”事件已有初步结果。经调查，郑州某高校计算机系在校生赵XX在美国某网站申请建立了一个论坛。2005年1月8日上午赵参加了今年的大学英语四级考试，当日中午他特别修改了该论坛的时区设置，并发表了题为“四级英语作文题目”的帖子，使网民以为该帖子发表于1月7日23:53，从而误认为是考前泄漏了作文题目。为进一步扩大影响，赵又以QQ方式群发了一条“看一下今年的四级英语作文题”的消息，由此引来网站访问量剧增，造成恶劣的社会影响。 我只能无奈的摇摇头。居然还有这样的言论——且不论这个措辞的不能自圆其说。

经验总结： 1、该东西是类似3721的垃圾公司出品； 2、该东西可以用清除传统木马方式处理； 3、该东西可以用本机hosts文件对付； 建立hosts文件 win98系统，c:\windows 文件夹中 win2000/xp，c:\Winnt\System32\Drivers\Etc 文件夹中 附：hosts 127.0.0.1 localhost 127.0.0.1 www.3721.net # 3721网络实名 127.0.0.1 3721.com # 3721网络实名 127.0.0.1 3721.net # 3721网络实名 127.0.0.1 cnsmin.3721.com # 3721网络实名 127.0.0.1 cnsmin.3721.net # 3721网络实名 127.0.0.1 download.3721.com # 3721网络实名 127.0.0.1 download.3721.net # 3721网络实名 127.0.0.1 www.3721.com # 3721网络实名 127.0.0.1 www.3721.net # 3721网络实名 127.0.0.1 bar.baidu.com # 百度IE搜索伴侣 127.0.0.1 www.baidu.com # 百度IE搜索伴侣 127.0.0.1 baidu.com # 百度IE搜索伴侣 127.0.0.1 www.henbang.net #很棒公司 　　我的电脑经常重启，症状就是开机后，提示瑞星出错，然后开IE，点击一个链接就出错。你说就是我的机器就算了，同事也有这样症状……谁知道…… 　　在启动注册表中发现了winup.exe的启动条目，让我给删除了。后来升级了瑞星，发现有这个病毒文件： 　　C:\WINNT\system32\winup.exe 　　重新启动后，又给我写到注册表中了。 [1 ]在IE的工具里点\”管理加载项\”,禁用Downloadvalue Class , EyeOnIe Class ,URLMonitor Class [2] 在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll xpieknl.dll winup.exe [3] 在注册表中删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run下的winup 键 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下的updata键 在网上找到的消息，说很棒软件的公司已经发来了回复，很感谢他们这种对用户负责的态度。以下为该公司提供的解决方法： 请到控制面板里双击【添加/删除程序】图标，然后在弹出的对话框中选中“HAP”项，再按【更改/删除】按钮可以卸载本软件。 您的问题也许可以通过本软件的版本更新来解决，在卸载了旧版本之后，您可以到http://www.henbang.com站点去下载最新的软件安装包安装。再次感谢您对本软件提出宝贵意见，如果您有其他问题需要我们解决，可以直接联系我公司客户服务部（support@henbang.com）。 另据： 安装了很棒小秘书软件后除了在安装目录生成文件外，还会在C:\Windows\System32目录中生成hda.ini、winup.exe和 winhtp.dll文件。通常你按照软件的说明删除该软件后，每次在启动IE浏览器或资源管理器的时候总会将Winup.exe写入注册表 HKEY_CURRENT_USER-SOFTWARE-MICROSOFT-WINDOWS-CURRENTVERSION-RUN中（图一http://blog.csdn.net/zhong1982/gallery/image/34736.aspx），让其开机自运行。这一问题让我恼火了几天。 这其中一个名为winhtp.dll在整个事件中扮演了一个很重要的角色。通过对winhtp.dll的观察可以大概的知道它的功能是做什么用的了。通过（图二http://blog.csdn.net/zhong1982/gallery/image/34737.aspx）我们可以看到这个dll文件所涉及到的所有动态链接库。我们看看它用到ADVAPI32.DLL文件中的那些函数（图三http://blog.csdn.net/zhong1982/gallery/image/34738.aspx），很显然图三中所显示的函数的功能是涉及对注册表操作的，如果写过操作注册表的程序的话，我们可以发现图三中所显示的函数可以对注册表的健值进行检查，创建。联系我们开始提到过的图一，我们可以明白为什么当我们在注册表中删除了winup.exe的自动运行的健值后每次打开IE或资源管理器后还会在注册表中创建winup.exe的自动运行的健值了。正是使用图三中的函数对注册表进行检测，看是否在HKEY_CURRENT_USER-SOFTWARE- MICROSOFT-WINDOWS-CURRENTVERSION-RUN中有winup.exe，如果没有就会再次创建。 说到这里又有一个问题，有人会说我为什么我一使用IE浏览器或资源管理器的时候就会激活这个动态链接库呢？因为大家都知道，在有些恶意网站为了提高自己网站的知名度往往使用绑架浏览器的方法，让浏览器在运行的时候自动转到他们的网站上，为了达到这个目的，其手法无非一下这几种：1.将浏览器的主页设置为该网站的网址，通常这种方法是很温和的，因为它允许你将你的主页再改回来。2.在将你的主页改成他们的网站的同时，他们还会在你的电脑上种上一个小程序，很小很小的程序，当然也可以是动态链接库。这个小程序会被写入注册表中的自动运行项中，让你的电脑一开机就运行这个程序，而这个程序的主要作用就是将你的主页改成他们的网站地址。这就是为什么我们将主页改了回来后，下次开机的时候又被改了回来的缘故。如果遇到更狠一点的，它会将你的注册表锁住，让你改都改不回来。3.再就是再浏览器启动的时候运行某个程序或动态链接库（这里说的不是在system.ini中的shell explorer 后加入要启动的程序，当然了，这个也要注意）。以XP+SP2为列，在浏览器中点击：工具－管理加载项，你就会发现很多IE浏览器启动时加载的文件(可以是程序或动态链接库)，这些控件在IE浏览器启动的时候会进行一些初始化操作（这些操作当然可以用来修改注册表或对硬盘上的文件进行文问）。那个让我们头痛的Winup.exe就是用了这个方法使得我们一打开浏览器或资源管理器的时候就会将Winup.exe写入自动运行项了（图四http://blog.csdn.net/zhong1982/gallery/image/34739.aspx）。 因此解决这个问题我们有这么几个解决方法：1.将C:\Windows\System32目录下的winup.exe和winhtp.dll删除，这样没有了winhtp.dll文件，E启动的时候当然没法用它来对注册表进行操作了。2.打开浏览器点击：工具－管理加载项，然后将涉及到 winhtp.dll文件的加载项禁用。 通过对这个问题的解决我们又知道了一个新的让程序自动运行的方法。除了大家都知道的几种方法外，还存在另外一种让程序自动运行的方法，就是将其设为为IE浏览器的启动加载项。至于具体的做法，我会在以后通过程序代码的方式发布出来。 （以上的方法在不同的平台上可能不同，但是方法大致相同，本人的机器系统为WinXP Pro+SP2） 这几天我发现kv老是提示将WINUP.EXE设为自启动，而且进程里多了个dllhost.exe文件。我将这两个文件删了后，不一会，启动里又莫名其妙增加一个，郁闷死了！ 后来我发现有一个叫winup.exe的程序在windows\system32目录底下，我当然是马上把它删除了，没想到连病毒的主程序的删除了，启动里还是会自动增加一个叫winup的项目。 后来我发现还有一个叫hda.ini的程序和winup有关联 分析hda.ini的内容： [update.dll] version=1.0.5 [version] component version=1.0.4 update switch=yes packagepath=D:\WINDOWS\system32\Henbangtemp\100_104.exe register=no component_version=1.0.7 update_switch=no path=D:\WINDOWS\system32\henbangtemp\UpdatePackage.exe mend_verion=1.0.7 [uninstall] directory=$Program Files$\henbang files=$system$\hda.ini,$system$\download.dll,$system$\popad.exe,$system$\hdp.ini unreg=download.dll,fail [winhtp.dll] version=1.0.7 update_switch=no [SendOldMac] switch=yes [status] onlineTime=2004-11-24 value=update uninstallTimes=uninstallTimes hdpini=1.0.7 domainName=http://www.henbang.net/download/updatelist noticeurl=http://www.henbang.net/hap/services.aspx cycleData=no waitTime=20 [winup.exe] version=1.0.7 不难看出这个病毒的来源地：http://www.henbang.net/ 于是我删掉windows/system32里的winup.exe，hda.ini和winhtp.dll，henbangtemp 文件夹 以及Program Files\henbang文件夹 可是这样做以后，并不能阻止启动里自动增加winup http://blog.csdn.net/zhong1982/archive/2004/12/12/213455.aspx

　　本来很早的时候申请了一个Gmail（狗王的邀请），结果给忘记了，把我的密码试了一堆都不行，就放弃了。所以就又索取了一个邀请（Goodboy），结果申请的时候发现我申请的用户名重复了，这才想起来我的gmail的用户名——原来以前不是密码记错了，而是用户名记错了。 　　便宜了LP，让她捡一个Gmail。 　　我的Gmail是：muyu.org 　　我LP的Gmail是：Jenny.VM

　　做完每月的计划，去票务公司购票，很遗憾的告诉我们，代理点只提前10天买票……10天？那时候黄花菜都凉了。 　　上次从长春回来，提前五天售票，我下午去买，说第二天才开始发售，第二天中午去，K，说已经卖完了！～还有更过分的，有同学从0:00开始排的，这算最最早的时候了吧？等到他的时候，也就0:30吧，就已经没票了，请问，票呢？

　　结果上午弄那个无聊的东西，下午写个办法，一天就这么一晃眼就没了。

　　原来在上班时间找个空闲点的时间看《计算机世界》都不行了。最近忙，属于那种简单重复无聊的忙，而且是盲目的。

无聊，厌倦这段时间的这种非技术性的工作，成天的吹毛求疵。 是，如果是一段程序，我会很耐心的去debug，但是这个……却始终耐不下性子。